Công ty An ninh mạng CyStack vừa cho biết, lỗ hổng Drupalgeddon2 vẫn đang tồn tại trong rất nhiều website trên thế giới. Theo thống kê, có hơn 115.000 website có khả năng bị tấn công thực thi mã từ xa (RCE), chiếm quyền điều khiển, chèn backdoor, mã độc thông qua lỗ hổng này.
Drupalgeddon2 nằm trong các phiên bản Drupal từ 6 đến 8. Lỗ hổng này đã được phát hiện từ 2 tháng trước, cho phép hacker có thể thực thi mã từ xa, chiếm toàn quyền kiểm soát website. Lỗ hổng nằm trong tính năng Form API trong core của Drupal, hacker có thể chèn và thực thi mã tùy ý từ xa (RCE) mà không cần xác thực, thông qua các tham số trên URL của website.
Một chuyên gia bảo mật đã thực hiện quét gần 500.000 website sử dụng Drupal 7 trên toàn thế giới. Kết quả là hơn 115.000 website vẫn chưa được cập nhật bản vá lỗ hổng. Các website tồn tại Drupalgeddon2 có khả năng bị tấn công chiếm quyền, chèn mã độc bất cứ lúc nào. Nhiều website đã bị hacker tấn công và chèn mã độc đào tiền ảo, loại mã độc sử dụng Coinhive (Monero Javascript Mining) để nhúng vào các website, tận dụng tài nguyên máy tính của người dùng khi truy cập website để đào tiền ảo Monero cho tin tặc thông qua mã Javascript.
Vẫn có tới tren 32% website Drupal tại Việt Nam chưa được khắc phục lỗ hổng |
Cùng với đó, các chuyên gia an ninh mạng của CyStack đã tiến hành lần kiểm tra thứ 2 và phát hiện vẫn còn 379 website Drupal tại Việt Nam chưa được khắc phục lỗ hổng Drupalgeddon2, tương đương 32.6%. Đáng chú ý, trong số này vẫn có nhiều website quan trọng của các doanh nghiệp thương mại điện tử, ngân hàng, công ty startup, tập đoàn công nghệ, các cơ quan nhà nước tại Việt Nam.
Trước đó, hồi tháng 4, các chuyên gia CyStack cũng phát đi cảnh báo khi phát hiện trong tổng số khoảng 1.000 website Drupal tại Việt Nam được quét, có đến hơn 500 website vẫn đang sử dụng phiên bản Drupal có lỗ hổng và có khả năng bị hacker khai thác.
Phía CyStack cũng cho hay, sau khi Drupalgeddon2 được công bố, CyStack Platform đã cập nhật bộ nhận diện Drupalgeddon2 trong tính năng Scanning của sản phẩm. Tính năng giúp quản trị viên xác định chính xác các vấn đề bảo mật, lỗ hổng trên các website. Kèm theo đó là mức độ nguy hiểm và phương án khắc phục cho các lỗ hổng. Ngoài ra, CyStack Platform có khả năng quét các loại mã độc đã lây nhiễm vào website. Bao gồm mã độc đào tiền ảo, mã độc spam, webshell, backdoor…
CyStack Platform là một nền tảng gồm nhiều các ứng dụng bảo mật được phát triển trên mô hình SaaS, bất cứ ai cũng có thể sử dụng thông qua giao diện Web đơn giản.
Ngoài ra, CyStack cho biết, hiện Drupal đã đưa ra bản vá và bản cập nhật mới cho lỗ hổng. Cụ thể, với phiên bản 7.x bạn cần nâng cấp lên Drupal 7.58, phiên bản 8.5.x, cần nâng cấp lên Drupal 8.5.1. Riêng phiên bản 8.3.x và 8.4.x cần nâng cấp lên 8.3.9 và 8.4.6, hoặc sử dụng bản vá riêng của Drupal. Trong trường hợp không thể cài đặt các phiên bản mới, các quản trị có thể cập nhật bản vá thủ công theo hướng dẫn của Drupal.
Với các website đã bị tin tặc tấn công chiếm quyền, chèn backdoor, lây nhiễm mã độc vào website. Các quản trị viên có thể sử dụng tính năng Website Malware Removal (Responding) trong CyStack Platform. Tính năng này cho phép phát hiện mã độc và hỗ trợ làm sạch mã độc cho website.